⚡️ Более 5300 уязвимых серверов GitLab все ещё доступны в открытой сети. Из них минимум 700 — в России 😞
Две недели прошло после выхода патча для уязвимости, позволяющей угнать аккаунт без всякого участия жертвы (CVE-2023-7028, CVSS по GitLab 10, хотя NVD выдал всего 7,5 попугаев). Для этого атакующий может инициировать сброс пароля на подконтрольный ему адрес e-mail. Уязвимости подвержены GitLab в обоих изданиях — и Community и Enterprise.

Тем, кто за эти две недели так и не обновил GitLab, теперь нужно не просто обновиться, а проверить свои системы на компрометацию, например пользуясь руководством от GitLab и их же советами по детекту вредоносной активности.

#новости @П2Т

🗣 Реагирование на утечки: пошаговое руководство

Когда: 1 февраля 2024 в 11:00 (МСК)

Два минувших года доказали, что утечки грозят и крупным, и малым компаниям в большинстве индустрий. При этом значительная часть бизнесов по-прежнему не готовы к подобным инцидентам: почти в половине организаций, столкнувшихся с утечкой данных в 2022 году, не было ответственного лица для реагирования, а около трети компаний не реагировали на инцидент. 🤷 А как реагировать правильно?
Об этом расскажут эксперты Kaspersky Digital Footprint Intelligence на специальном вебинаре. Обсудим:

▶️ как заранее подготовить план действий и что в него должно входить;
▶️ кто в компании должен отвечать за реагирование на инцидент;
▶️ какую роль играет мониторинг Дарквеб ресурсов и как им пользоваться;
▶️ стратегии быстрого выявления инцидентов, расследования, реагирования и восстановления после инцидента.

👤 Вебинар проведёт Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence

Встречаемся в следующий четверг: 1 февраля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

Шпионят ли за вами умные устройства? 🙄

Выясняем, могут ли маркетинговые фирмы подслушивать ваши разговоры, и рассказываем, как защитить свою конфиденциальность, в новом посте.

#KD_советы

🔎 Интересные исследования APT и новости ИБ за неделю

Когда какую-то серьёзную уязвимость закрывают, не обнаружив эксплуатацию в дикой природе, откладывать применение патчей всё равно не стоит. Вот неприятную CVE-2023-34048, недавно закрытую в VMWare vCenter, оказывается, эксплуатировали аж с 2021 года. 👀

⚙️ Анализ драйвера уровня ядра, применяемого в ВПО PlugX, который авторы умудрились подписать сами знаете в какой компании.

🌐Технический анализ импланта NSPX30, применяемого в кибератаках APT Blackwood. Авторы исследования считают операцию китайской и отмечают её высокую сложность. ВПО доставляется с помощью обновлений легитимных продуктов, таких как WPS Office и Sogou PinyinVSogou Pinyin, предположительно при помощи модификации сетевого трафика. Подобную технику мы наблюдали, например, в APT Windealer. Она же видимо используется при передаче украденной информации на С2.

🟢 Сюжет со взломом Microsoft разворачивается. Помимо интересных технических подробностей атаки, новый блогпост Microsoft содержит указание на то как та же APT атакует другие организации. Из обтекаемых фраз непонятно, использовался ли в атаках привилегированный доступ к ресурсам Microsoft или же TI-команда Microsoft просто нашла артефакты других атак одновременно со «своей». Новый документ оформлен как руководство защитникам и в этой роли вполне практичен: харденинг Oauth, защита от атак типа password spray, релевантные события в SIEM и XDR.

👮‍♀️ Анализ крупной криминальной операции по распределению вредоносного трафика VexTrio, включающей сложную инфраструктуру TDS и более 70 тысяч доменов. Эта система применяется в десятках вредоносных схем - от мошенничества с романтическими отношениями до фальшивых обновлений ПО, фишинга и распространения ransomware.

🦜 Кстати, недавно вышел ещё один разбор системы вредоносных редиректов ParrotTDS, которая развивается с 2019 года и всё оттачивает свою скрытность. Владельцам веб-сайтов, особенно на базе коробочных CMS наподобие Wordpress и Joomla стоит принять рекомендованные меры защиты, чтобы не допустить компрометации своих веб-серверов.

Анализ штамма ransomware Kasseika: видимо создан бывшими участниками BlackMatter, использует технику BYOVD и уязвимые драйверы Martini/VirtIT Agent для отключения защитных решений на атакуемой системе, запускается при помощи PsExec. Новая классика 😞

Не APT, но тоже интересно

💎 Прогнозы на 2024 год в сфере вымирающих видов — конфиденциальности и приватности. Почитайте, там много интересных мыслей. Редакции понравилась, например такая: развитие ИИ вынудит регуляторов расширить понятие «конфиденциальные данные» на фото и видео, потому что дипфейки становятся всё более масштабной угрозой. Есть и многое другое: про влияние ИИ-ассистентов нового поколения, приближение беспарольного будущего и так далее.

🍏 Анализ интересного MacOS-бэкдора: работает на свежих версиях MacOS, скачивает ВПО второго этапа из TXT-записей DNS, в конечном счёте ворует криптовалюту.

🚓 Обзор итогов специального автомобильного Pwn2own: 49 зиродеев, $1,3 млн призов, во все заголовки новостей вошли две цепочки эксплойтов для Tesla. А мы бы советовали больше смотреть на дыры «инфраструктурные», например комбо из трёх багов для эксплуатации Automotive Grade Linux.

#новости @П2Т

🌐 «Бытовые» ботнеты на службе APT

США, говорят, нарушили работу ботнета из бытовых роутеров, камер видеонаблюдения и прочих дырявых IoT. Новость была бы ординарной, если бы не один нюанс — речь не про очередной DDoS-клон Mirai, а про ботнет, стоящий на службе группировки Volt Typhoon и помогающий компрометировать крупные американские компании и госучреждения.

Атакующие целятся в устаревшие уязвимые устройства, например пожилые роутеры Cisco, NETGEAR и DrayTek, разворачивают на них свой шелл и используют этот доступ для дальнейшего проникновения в корпоративные сети. Выбирая роутер в том же городе, что и компания-мишень, APT снижают вероятность детектирования по правилам, основанным на geo-IP. Также подобные ботнеты упрощают атаки с подбором паролей (password spraying). По имеющимся оценкам, например, треть роутеров Cisco RV320 поражены этой заразой.

Лобовое противодействие этой технике достаточно проблематично, защитникам нужно находить аномальные входы в системы по более сложным признакам, чем просто география IP-адреса. Ну и конечно эшелонированная защита позволит не ограничиваться единственной детектирующей логикой.
Асимметричный ответ с отключением ботнета тоже хорош, но практика показывает, что убитые ботнеты рано или поздно возрождаются.

#новости @П2Т

⚙️ Защита под капотом кожухом

О том, что разного рода инфокиоски, банкоматы и безлюдные автозаправки требуют защиты, многие компании задумались только после эпидемии Wannacry, когда устаревшие компьютеры под капотом всего вышеперечисленного в одночасье превратились в тыкву. Но попытка поспешно развернуть обычные защитные решения тоже обречена на провал, ведь встраиваемые системы ограничены в ресурсах, не могут быть легко обновлены, находятся в труднодоступных местах и так далее. Это, конечно, не значит, что их можно оставить без защиты, просто она должна быть приспособлена ко всей этой специфике. Больше о том, чем примечательны встраиваемые системы и как правильно обеспечивать их безопасность — в нашей статье.

#советы @П2Т

🔖 Внимание, закладки!

Вопросы незадекларированнной функциональности чаще всего поднимают в разговорах про ПО или сложную цифровую технику. Пример польских железных дорог напоминает, что к этой категории давно уже относятся большинство автомобилей, тракторов, станков и, да, поездов тоже.

Команда ИБ-специалистов, нанятая исследовать загадочно остановившиеся после ремонта поезда обнаружила целую кучу интересной логики:

🔵 блокировка поезда после длительного пребывания в определённых ремонтных мастерских;
⚫️ фальшивые уведомления об отказе компрессоров после регламентной даты обслуживания насоса;
🔴 блокировка поезда после замены определённых деталей;
🟡 постоянная передача координат поезда производителю.

Похоже, в тендерные процессы при закупке тяжёлой техники скоро придётся закладывать глубокий ИБ-аудит.

#советы @П2Т

🟢 Что сулит 2024 для АСУ ТП?

Эксперты Kaspersky ICS CERT подвели итоги минувшего года в промышленной ИБ и сделали прогнозы на год наступивший. Они, прямо скажем, тонизируют:

🟣вымогатели останутся бичом №1 промышленных предприятий в 2024 году. В ряде случаев такие атаки будут приводить к тяжёлым экономическим или социальным последствиям (вспоминаем недавнюю атаку на логистическую компанию DP World);
🟣кстати, вырастет число киберугроз для транспортной и логистической отраслей;
🟣более разрушительные последствия будет приносить политически и экологически мотивированный хактивизм;
🟣чаще будет применяться наступательная кибербезопасность, иногда - не для защиты 🙈.

➡️ Подробный отчёт читайте на Securelist и сайте ICS CERT. Там много любопытного, например описание возможных тактик монетизации, которые ransomware могут взять на вооружение, если их текущие мишени адаптируются и станут реже и меньше платить.

#статистика @П2Т

💎 Не пропустите! Самые интересные материалы января

🔖Способы детектирования iOS-имплантов.

🔖Новые «бытовые» ИБ-советы.... Нет, не про пароли :)

🔖График харденинга Windows от Microsoft на первое полугодие.

🔖Новогодние обещания для безопасного 2024 года

🔖Внимание, аппаратные закладки в.... тяжёлом машиностроении.

🔖Что будет с даркнет-площадками в 2024 году

Приятного чтения и просмотра!
#дайджест @П2Т

🎁🗣 Сложная неделя намечается у девопс-инженеров и всех, кто эксплуатирует контейнерные инфраструктуры. Четыре критические уязвимости в runc и BuildKit, коллективно названные Leaky Vessels, позволяют атакующему осуществить побег из контейнера и получить неавторизованный доступ к ОС хоста. Хотя уязвимости найдены исследователями и эксплуатации пока не подвергались, весьма вероятно, что нелегальные криптомайнеры и прочие неприятные люди начнут ими пользоваться в скором будущем.

CVE-2024-23652 (CVSS 10) в BuildKit позволяет вредоносному фронтенду или dockerfile удалять файлы и папки за пределами контейнера, в хост-системе. Исправлено в версии 0.12.5.
CVE-2024-21626 (CVSS 8.6) в runc является утечкой дескриптора файла и позволяет вредоносному образу запустить контейнер с рабочей папкой в пространстве хост-ОС. Исправлено в runc 1.1.12
CVE-2024-23653 (CVSS 9.8) в BuildKit позволяет запустить контейнер с повышенными привилегиями, а CVE-2024-23651 (CVSS 8.7) приводит к гонке, позволяющей контейнеру получить доступ к файлам хоста.

Поскольку на runc и Buildkit основаны большинство широко используемых продуктов для контейнеризации, включая Kubernetes и Docker, весьма важно изучить бюллетени вашего поставщика этих решений (уже отметились AWS, Docker, Google и другие, не говоря уже про runc и containerd) и своевременно обновить все компоненты инфраструктуры, включая инструменты сборки контейнеров в пайплайне CI/CD, демоны Docker и оркестраторы.

Ну и конечно, это ещё раз напоминает, что комплексная защита контейнерной инфраструктуры стала острой необходимостью, а не блажью ИБ-шников.

#новости @П2Т

🥸 Новая LPE в glibc требует обновления Ubuntu, Debian, Fedora и других Linux

Эксперты Qualys продолжают находить уязвимости в ключевых библиотеках экосистемы Linux. Недавно были устранены несколько уязвимостей в glibc, затрагивающие функции syslog, vsyslog и qsort. Эксплуатация CVE-2023-6246 (CVSS 8.4) позволяет атакующему с низкими привилегиями получить root, инициировав переполнение буфера. Различные дистрибутивы Linux подвержены уязвимости в разной мере — вот бюллетени Debian, Fedora, Ubuntu, RedHat. Кстати, хотя именно Redhat координировала устранение уязвимости, их дистрибутивы никогда не содержали уязвимую версию glibc 😃.

При анализе glibc были найдены также три менее серьёзных уязвимости в функциях vsyslog и qsort. Одна ещё ждёт CVE ID, а две другие получили идентификаторы CVE-2023-6779 и CVE-2023-6780.

Уязвимость появилась в glibc версии 2.37, но потом её внесли также в 2.36. А устранена она в версии 2.39.
Кроме очевидной рекомендации проверить, какая версия glibc используется в ваших Linux-системах (включая виртуальные машины и фирменные узкоспециализированные серверы), дали пару советов по защите на блоге.

#новости @П2Т

Неделька выдалась такая, что пот будет течь ещё месяц 🗿

4️⃣ Четыре уязвимости в runc и BuildKit принесут много головной боли, поскольку требуют обновления большинства контейнерных инфраструктур, о чём мы уже писали.

⚙️ А если у вас эксплуатируется ещё и GitLab, то заодно придётся обновлять и его, чтобы закрыть CVE-2024-0402 со скромным CVSS 9.9. Ошибка затрагивает как Community, так и Enterprise edition.

😊 Ну и чтобы окончательно добить девопсов, для обнаруженной полторы недели назад критической уязвимости в Jenkins (CVE-2024-23897, CVSS 7.5), появились публичные эксплойты и отмечены первые попытки эксплуатации.

🔎 Авторы Anydesk, популярного решения удалённого управления, признались, что стали жертвой кибератаки. Подробностей мало, но понятно, что атака серьёзная — вызвали кавалерию Краудстрайк, поменяли сертификаты. Клиентов успокаивают простодушно: «Мы можем подтвердить, что ситуация под контролем и использовать AnyDesk безопасно. Убедитесь, что используете свежую версию с новым сертификатом подписи кода». Учитывая, что ПО этого класса, как модифицированное так и обычное, активно применяется в кибератаках и мошеннических схемах, ничего хорошего ждать не приходится.

👮‍♀️ Ситуация с зиродеями в VPN-решениях Ivanti (Connect Secure и Policy Secure) накалилась до такой степени, что американская CISA велела госучреждениям отключить потенциально уязвимые устройства в течение двух дней. Тем временем сам производитель рекомендует полный сброс устройств с накатыванием заводских настроек. К счастью, в наших широтах это конкретное изделие Ivanti почти не используется (в отличие от MobileIron, в котором последний раз дыры латали в августе).

🛡 Cloudflare выкатили образцовый отчёт об инциденте, обнаруженном в ноябре 2023 года. Пользуясь октябрьским взломом Okta, злоумышленники смогли проникнуть в инфраструктуру Cloudflare и получить доступ к их Confluence, Jira и Bitbucket. По словам авторов отчёта, zero-trust архитектура и общий комплекс мер ИБ помешали злоумышленникам глубже скомпрометировать инфраструктуру, похитить какие-либо учётные данные или внести изменения в конфигурацию сети. Несмотря на это, компания потратила следующие 3 месяца на масштабный харденинг, перезагрузку всех серверов и замену всех секретов в качестве предосторожности. Будем наблюдать.

🤔 Тем временем кто-то выложил на Github тонны внутренней информации Binance, включая исходные коды, пароли и многое другое. Оно лежало в открытом доступе и Binance смогли удалить информацию только через копирайтную жалобу. Кто за это время её скачал, и как будет пользоваться — узнаем через годик, но тем, у кого в Binance лежат криптоактивы, возможно, захочется их переложить пораньше. 🤪

👨‍💻 Теперь можно для успокоения почитать APT-отчёты.

1️⃣ Криптомайнинговые кампании всё множатся. Commando Cat атакует уязвимые серверы Docker, HeadCrab 2.0 целится в серверы Redis.

💬 Анализ USB-импланта от UNC4990, финансово мотивированной группировки, преимущественно орудующей в Европе.

🟡 А в России фишинг и инфостилеры применяются для атак на промышленные организации группировкой Scaly Wolf.

Судя по тревожным реляциям UA-CERT, ВПО PurpleFOX/DirtyMoe, ранее замеченное преимущественно в Китае, начало победное шествие по другим частям континента. Это немолодой, но регулярно обновляемый компонент коммерческого ботнета, имеющий функции руткита и самораспространения. Эволюция ВПО неплохо документирована (1, 2, 3).

🗄 Серверный P2P-ботнет FritzFrog, ранее размножавшийся в основном брутфорсом SSH, обновился и стал эксплуатировать Log4shell.

#дайджест #APT @П2Т

💲 Какой ущерб наносит ransomware?

Вопрос кажется простым, но только до тех пор, пока не пообщаешься с жертвами и участниками реагирования на десяток инцидентов. Кроме очевидных потерь от простоя бизнеса, привлечения внешних подрядчиков на реагирование, возможной выплаты выкупа, есть много других аспектов, ущерб от которых систематически недооценивается. В эту тему глубоко погрузился британский институт RUSI, результаты исследования — по ссылке.

Авторы классифицируют ущерб по трём категориям:

1️⃣ прямой ущерб организации и её сотрудникам (ущерб первого порядка);
2️⃣ ущерб клиентам, поставщикам и партнёрам;
3️⃣ ущерб обществу и экономике в целом.

Комплексный анализ привёл исследователей к нескольким интересным выводам:

*️⃣ долгосрочный ущерб экономике от инцидентов ransomware плохо изучен и, вероятно, значительно недооценён. Сюда входят как накопительные последствия крупных инцидентов, например ценовая нестабильность на рынках или худшая доступность госуслуг, так и ухудшение систематических проблем, таких как снижение доверия к правоохранительным органам;

*️⃣ репутационный ущерб в ряде случаев переоценивают — там, где речь не идёт о банковских, судебных или медицинских данных, клиенты и партнёры зачастую относятся к инцидентам с пониманием;

*️⃣ существенные затраты компании-жертвы будут относиться не только к устранению инцидента как такового и работе с утечкой ПД, но и к последующим выплатам сотрудникам. Сюда входят платы за переработки, увеличение медицинских расходов, возможный рост текучести кадров;

*️⃣ клиентам атакованной компании может быть труднее, чем ей самой, особенно если речь про поставщика инфраструктурных услуг наподобие хостинга или перевозок.

Авторы предлагают использовать свою методологию для того, чтобы более комплексно реагировать на инциденты ransomware и правильно принимать регуляторные решения в этой сфере. Про регуляторную часть ничего не скажем, а вот комплексное реагирование на инциденты очень поддерживаем — там есть работа не только ИТ и ИБ, но и HR, PR и АХУ 🧡

#советы @П2Т

Как компании плааавно войти в баг-баунти? Отвечает Андрей Лёвкин из BI.ZONE в нашем подкасте ОБИБЭ.

Полная версия дискуссии - здесь 😊

#видео @П2Т

🔗От угроз вымогателей и сливов персональных данных особенно сложно защититься маленьким компаниям. В них нет штатного ИТ-специалиста, а вся кибербезопасность должна обеспечиваться целиком автоматически. Совместно с Газпромбанком предлагаем малому бизнесу попробовать Kaspersky Small Office Security, чтобы решить основные вопросы кибербезопасности без головной боли и без лишних затрат.

При открытии РКО* в Газпромбанке и оплате абонентской платы за обслуживание счета на 12 месяцев, вы получаете 90 дней комплексной защиты Kaspersky Small Office Security для бизнеса в подарок!

🚀 Открыть счёт и получить защиту.

Реклама. Банк ГПБ (АО), ИНН 7744001497. Erid: 2RanymHkUoJ
*Расчетно-кассовое обслуживание

❕ Уязвимость в TeamCity — горе в семье

JetBrains сообщили о серьёзной дыре в своей платформе CI/CD. Обход аутентификации в TeamCity (CVE-2024-23917, CVSS 9.8) позволяет злоумышленнику получить админские привилегии на платформе. Уязвимость затрагивает версии on-premise и требует срочного обновления до 2023.11.3. Тем, кто не может обновиться, предложены специальные временные плагины для версий TeamCity 2017.1, 2017.2, 2018.1 и 2018.2+. В качестве альтернативы сервер TeamCity рекомендовано изолировать от Интернета (а в Сети их видно не меньше пары тысяч).

Учитывая, что в прошлом дыры в TeamCity были использованы как серьёзными шпионскими APT, так и бандами вымогателей, а также тот факт, что компрометация TeamCity позволяет троянизировать легитимное ПО, выпускаемое атакованной компанией, эту уязвимость нужно ликвидировать максимально быстро.

#новости @П2Т

🤨 Fortinet втихую обновили исправления для FortiSIEM

Закрытая ещё в октябре CVE-2023-34992 (CVSS 9.8, бюллетень) оказалась закрытой не до конца. Обход фикса получил свои отдельные CVE-2024-23108 и -23109, но суть уязвимости не изменилась: атакующий может создать такие API-запросы, которые позволят ему выполнять произвольный код на сервере.
Чтобы окончательно всех запутать, Fortinet обновили старый бюллетень, а не выпустили новый. При этом некоторые версии FortiSIEM ещё не получили обновление, учитывающее обновлённую уязвимость. Впрочем, на следующей неделе ожидается регулярный ежемесячный бюллетень безопасности Fortinet, в котором производитель обещает навести порядок и в информации, и в коде.
🫥 Все, кто ещё продолжает сидеть на продуктах Fortinet, несмотря на отношение производителя и требования отечественных ИБ-регуляторов, затаили дыхание.

#новости @П2Т